腾讯安全威胁情报中心推出2023年6月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年6月必修安全漏洞清单
原创 腾讯威胁情报中心 安全攻防团队 2023-07-07 16:50
欢迎关注
腾讯安全威胁情报中心
腾讯安全攻防团队 A&D Team
腾讯安全 威胁情报团队
腾讯安全威胁情报中心推出2023年6月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
以下是2023年6月份必修安全漏洞清单详情:
一、NginxWebUI runCmd 远程代码执行漏洞
概述:
腾讯安全近期捕获到
NginxWebUI
的
0day
在野攻击,漏洞利用复杂度低且稳定,影响范围广,危害大。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
NginxWebUI
是一款图形化管理
nginx 配置的工具,可以使用网页来快速配置
nginx单机与集群的各项功能,包括
http协议转发,
tcp协议转发,反向代理,负载均衡,静态
html服务器,
ssl证书自动申请、续签、配置等,配置好后可一建生成
nginx.conf文件,同时可控制
nginx使用此文件进行启动与重载,完成对
nginx的图形化控制闭环。
该漏洞源于作者没有对
runCmd接口处传入的参数进行有效过滤,攻击者可在无需登录的情况下绕过路由权限校验,通过拼接语句的方式执行任意命令,最终控制服务器。
P.S. 经过腾讯安全专家分析,此组件的最新版本中仍存在命令执行,文件上传等多个高危漏洞。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
nginxWebUI < 3.5.1
P.S. v3.5.1版本修复了登陆绕过漏洞,但是RCE漏洞在最新版本(v3.6.5)中仍可绕过防护进行利用
修复建议:
通过设置安全组功能,仅对可信地址和内网开放
nginxWebUI来缓解风险。
- 官方已发布漏洞补丁及修复版本,但组件修复不完全,防护机制可被绕过,且其他接口仍存在多个高危漏洞。因此建议受漏洞影响的用户及时关注厂商公告并及时更新
NginxWebUI版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
http://file.nginxwebui.cn/nginxWebUI-3.6.5.jar
- 使用
腾讯安全防护产品
检测/拦截这些
未公开的
漏洞利用。
二、Smartbi商业智能软件绕过登录漏洞
概述:
腾讯安全近期监测到Smartbi官方发布了关于Smartbi的风险公告。成功利用此漏洞的攻击者,最终可以绕过认证登录后台,执行任意操作,甚至远程执行代码。
Smartbi是企业级商业智能BI和大数据分析品牌,满足用户在企业级报表、数据可视化分析、自助分析平台、数据挖掘建模、AI智能分析等方面的大数据分析需求。Smartbi致力于打造产品销售、产品整合、产品应用的生态系统,与上下游厂商、专业实施伙伴和销售渠道伙伴共同为最终用户服务,并通过Smartbi应用商店(BI+行业应用)为客户提供场景化、行业化数据分析应用。
据描述,该漏洞源于Smartbi默认存在内置用户,在使用特定接口时,攻击者可绕过用户身份认证机制获取内置用户身份凭证,随后可使用获取的身份凭证调用后台接口,最终可能导致敏感信息泄露和代码执行。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
V7 <= Smartbi <=V10
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.smartbi.com.cn/patchinfo
三、Microsoft SharePoint Server特权提升漏洞
概述:
2023
年
6
月,微软发布了
2023
年
6
月安全更新补丁,此次共发布了
69
个漏洞的补丁程序,其中包含
13
个严重漏洞。
本次发布涉及多个软件的安全更新,包括
Microsoft SharePoint Server
、
Windows Hyper-V
、
Windows Kernel
、
Microsoft Office
等产品,上述漏洞中危害性较高的是
Microsoft SharePoint Server
特权提升漏洞,漏洞编号为:
CVE-2023-29357(CNNVD:
CNNVD-202306-940)
。
成功利用此漏洞的攻击者,可以绕过身份验证,进而获得任意用户的访问权限。
Microsoft SharePoint Server是美国微软公司的一套企业业务协作平台。该平台用于对业务信息进行整合,并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。
据描述,该漏洞源于Microsoft SharePoint Server的身份验证过程存在缺陷,未经身份验证的远程攻击者可以通过向易受攻击的服务器发送欺骗性的JWT身份验证令牌来利用该漏洞,从而获得目标上经过身份验证的用户的权限。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Microsoft SharePoint Server 2019
修复建议:
1.
在
SharePoint Server中启用
AMSI集成功能并使用
Microsoft Defender,参考官方文档:
https://learn.microsoft.com/zh-cn/sharepoint/security-for-sharepoint-server/configure-amsi-integration
2.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-29357
四、Nacos 集群Raft反序列化漏洞
概述:
腾讯安全近期监测到Nacos官方发布了关于Nacos的风险公告,漏洞编号为:CNVD-2023-45001。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Nacos 是一个开源的、易于使用的动态服务发现、配置和服务管理平台,适合构建云原生应用。它提供了一种统一的数据管理和服务解决方案。
据描述,该漏洞源于Nacos集群处理部分Jraft请求时,未限制使用hessian进行反序列化,攻击者可以通过发送特制的请求触发该漏洞,最终执行任意远程代码。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
1.4.0 <= Nacos < 1.4.6
2.0.0 <= Nacos < 2.2.3
修复建议:
-
默认配置下该漏洞仅影响Nacos集群间Raft协议通信的7848端口,此端口不承载客户端请求,可以通过限制集群外部IP访问7848端口来进行缓解。
-
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/alibaba/nacos/releases
五、VMware Aria Operations 命令注入漏洞
概述:
腾讯安全近期监测到VMware官方发布了关于VMware Aria Operations的风险公告,漏洞编号为:CVE-2023-20887(CNNVD编号:CNNVD-202306-550)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意命令。
VMware Aria Operations是VMware公司的一个统一的、人工智能驱动的自动驾驶 IT 运营管理平台,适用于私有云、混合云和多云环境。VMware Aria Operations的前身是VMware vRealize Operations。
据描述,该漏洞源于VMware Aria Operations 中的evictPublishedSupportBundles方法中存在命令执行语句,远程攻击者可以通过特制的请求将恶意命令拼接注入,从而远程执行系统命令。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
6.2.0 <= VMware Aria Operations <= 6.10.0
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.vmware.com/security/advisories/VMSA-2023-0012.html
六、Grafana Azure Active Directory 身份验证绕过漏洞
概述:
腾讯安全近期监测到Grafana官方发布了关于Grafana的风险公告,漏洞编号为:CVE-2023-3128(CNNVD编号:CNNVD-202306-1620)。成功利用此漏洞的攻击者,最终可绕过身份验证接管目标用户,获取用户的敏感信息。
Grafana是一个开源分析和数据可视化平台,通常用于可视化和分析各种实时和历史时间序列数据,提供与各种监控平台和应用程序的广泛集成选项。Grafana已经成为用于展示、监控和分析数据的常用工具,特别是在大规模的分布式系统和云端应用中。
据描述,该漏洞源于Grafana根据电子邮件声明验证Azure Active Directory 帐户,但在Azure AD 上,配置文件电子邮件字段在 Azure AD 租户中并不唯一。攻击者可以通过创建一个拥有与用户账户相同的电子邮件地址的恶意帐户,利用该漏洞绕过身份验证,从而接管用户账户。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
6.7.0 <= Grafana < 8.5.27
9.2.0 <= Grafana < 9.2.20
9.3.0 <= Grafana < 9.3.16
9.4.0 <= Grafana < 9.4.13
9.5.0 <= Grafana < 9.5.4
修复建议:
-
将allowed_groups配置添加到Azure AD配置,确保用户登录时是 Azure AD 中组的成员。
-
在Azure AD中注册单个租户应用程序。
-
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://grafana.com/blog/2023/06/22/grafana-security-release-for-cve-2023-3128
七、Parse Server MongoDB BSON 远程命令执行漏洞
概述:
腾讯安全近期监测到Parse Server官方发布了关于Parse Server的风险公告,漏洞编号为:CVE-2023-36475(CNNVD编号:CNNVD-202306-2123)。成功利用此漏洞的攻击者,最终可远程执行任意命令。
Parse Server 是一个用于构建移动应用程序和Web应用程序的开源框架,使用MongoDB 进行数据存储,通过 MongoDB BSON 解析器来解析和处理 BSON 数据。
据描述,该漏洞源于Parse Server对用户控制的参数缺乏过滤,当MongoDB BSON解析器解析恶意构造的BSON数据时易受原型污染的影响,最终攻击者可通过该漏洞远程执行任意代码。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Parse Server < 5.5.2
6.0.0<= Parse Server < 6.2.1
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/parse-community/parse-server/security/advisories/GHSA-462x-c3jw-7vr6
八、Fortinet FortiOS 缓冲区错误漏洞
概述:
腾讯安全近期监测到
Fortinet
官方发布了关于
FortiOS
的风险公告,漏洞编号为:
CVE-2023-27997
(
CNNVD
编号:
CNNVD-202306-852
)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
FortiOS是美国Fortinet公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。
据描述,该漏洞源于FortiOS SSL VPN中存在基于堆的缓冲区溢出错误,攻击者通过发送特制的请求触发该漏洞,最终可实现在目标系统上执行任意代码。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
FortiOS -6k7k 6.0.10
FortiOS -6k7k 6.0.12
FortiOS -6k7k 6.0.13
FortiOS -6k7k 6.0.14
FortiOS -6k7k 6.0.15
FortiOS -6k7k 6.0.16
FortiOS -6k7k 6.2.4
FortiOS -6k7k 6.2.6
FortiOS -6k7k 6.2.7
6.2.9 <= FortiOS -6k7k <= 6.2.13
FortiOS-6k7k 6.4.2
FortiOS -6k7k 6.4.6
FortiOS -6k7k 6.4.8
FortiOS -6k7k 6.4.10
FortiOS -6k7k 6.4.12
FortiOS -6k7k 7.0.5
FortiOS -6k7k 7.0.10
1.1.0 <= FortiProxy <= 1.1.6
1.2.0 <= FortiProxy <= 1.2.13
2.0.0 <= FortiProxy <= 2.0.12
7.0.0 <= FortiProxy <= 7.0.9
7.2.0 <= FortiProxy <= 7.2.3
6.0.0 <= Fortinet FortiOS <= 6.0.16
6.2.0 <= Fortinet FortiOS <= 6.2.13
6.4.0 <= Fortinet FortiOS <= 6.4.12
7.0.0 <= Fortinet FortiOS <= 7.0.11
7.2.0 <= Fortinet FortiOS <= 7.2.4
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
FortiOS-6000:
其中6.0,6.2,6.4版本已不再维护
https://docs.fortinet.com/product/fortigate-6000/7.0
FortiOS-7000:
其中6.0,6.2,6.4版本已不再维护
https://docs.fortinet.com/product/fortigate-7000/7.0
FortiProxy:
其中1.1,1.2版本已不再维护
https://docs.fortinet.com/product/fortiproxy/7.2
https://docs.fortinet.com/product/fortiproxy/7.0
https://docs.fortinet.com/product/fortiproxy/2.0
FortiOS:
其中6.0,6.2,6.4版本已不再维护
https://docs.fortinet.com/product/fortigate/7.2
https://docs.fortinet.com/product/fortigate/7.0
*** 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。**
*** 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。**
通用的漏洞修复、防御方案建议
腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:
https://s.tencent.com/research/report/157
腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
腾讯安全攻防团队 A&D Team
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。
往期企业必修漏洞清单
– 2023年05月必修安全漏洞清单